第六章节 信息安全与职业道德.ppt

第六章节 信息安全与职业道德 6.1 信息安全概述 6.2 计算机病毒 6.3 职业道德与相关法规 6.1 信息安全概述 本章学习目标 6.1.1 计算机信息安全 6.1.2 计算机信息面临的威胁 6.1.3 计算机信息系统互连标准 6.1.4 信息安全性的度量标准 6.1.5 计算机信息安全技术 6.1.6 计算机网络安全技术 小练习 本章学习目标 通过本章学习，读者应该掌握以下内容： 了解计算机安全、信息安全和网络安全。 了解网络信息系统不安全的因素。 了解信息安全需求和安全服务。 了解信息安全标准。 了解信息安全技术的有关概念。 了解访问控制技术的有关概念。 了解数据加密技术的有关概念。 了解网络信息安全解决方案。 理解个人网络信息安全策略。 6.1.1 计算机信息安全 计算机信息系统是一个由计算机实体、信息和人三部分组成的人机系统。计算机实体即计算机硬件体系结构，信息的主要形式是文件，人是信息的主体，信息系统以人为本，必然带来安全问题，人机交互是计算机信息处理的一种基本手段，也是计算机信息犯罪的入口。 6.1.2 计算机信息面临的威胁 计算机信息系统潜伏着严重的问题和不安全因素，计算机系统固有的缺陷、人为的因素、环境的影响等等，都不可避免地存在对计算机信息系统的威胁。 1. 计算机信息的脆弱性 (1). 信息处理环节中存在的不安全因素。 (2). 计算机信息自身的脆弱性. 信息系统自身的脆弱性主要包括有以下几个方面。 计算机操作系统的脆弱性 计算机网络系统的脆弱性 数据库管理系统的脆弱性 6.1.2 计算机信息面临的威胁 2. 信息系统面临的威胁 (1). 自然灾害： (2). 人为因素或偶然事故构成的威胁： (3). 主机产品受制于人 (4). “黑客”攻击和计算机病毒的威胁 (5). 计算机犯罪的威胁 (6). 信息战的严重威胁。 6.1.2 计算机信息面临的威胁 3. 计算机信息受到的攻击 对计算机信息的人为故意威胁称为攻击 攻击的目的主要是破坏信息的保密性、完整性、真实性、可用性和可控性。威胁和攻击的对象可分为两类：对实体的威胁和攻击；对信息的威胁和攻击。 对计算机信息系统的攻击危害到信息系统的可用性、保密性和完整性。 “黑客”的攻击可分为主动攻击和被动攻击。 6.1.2 计算机信息面临的威胁 1. 主动攻击 主动攻击是指篡改系统中所含信息或者改变系统的状态及操作。因此主动攻击主要威胁信息的完整性、可用性和真实性。攻击方式有：冒充、篡改、抵赖、其它如：非法登录、非授权访问、破坏通信规程和协议等。 2. 被动攻击 被动攻击是被动攻击一切窃密的攻击。被动攻击不会导致对系统中所含信息的任何改动，而且系统的操作和状态也不被改变，因此被动攻击主要威胁信息的保密性。攻击方式有：偷窃和分析。 6.1.3 计算机信息安全技术 6.1.3 计算机信息安全技术 2. 信息运行安全技术 为保障整个计算机信息系统功能的安全实现，提供一套安全措施，来保护信息处理过程的安全，这方面的技术主要有： 风险分析 2. 审计跟踪技术 3. 应急技术 4. 容错存储技术 6.1.3计算机信息安全技术 3. 信息安全技术 计算机信息安全技术是指信息本身安全性的防护技术，以免信息被故意地和偶然地破坏。主要有以下几个安全防护技术： 1. 加强操作系统的安全保护 2. 数据库的安全保护 3. 访问控制 4. 密码技术 6.1.3 计算机信息安全技术 4. 密码技术 密码技术是对信息直接进行加密的技术，是维护信息安全的有力手段。通常情况下，人们将可懂的文本称为明文；将明文变换成的不可懂的文本称为密文。从明文到密文的转换过程叫加密。其逆过程，即把密文变换成明文的过程叫解密。明文与密文的相互变换是可逆的变换，并且只存在唯一的、无误差的可逆变换。 目前主流的密码学方法根据密钥类型不同分为两大类：保密密钥算法和公开密钥算法。 6.1.3 计算机信息安全技术 数据加密技术 按作用的不同，数据加密技术主要分为四种： (1) 数据传输加密技术。 (2) 数据存储加密技术。 (3) 数据完整性鉴别技术。 (4) 密钥管理技术。 6.1.3 计算机信息安全技术 6. 访问控制 访问控制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域（出入限制）和限制使用计算机系统和计算机存储数据的过程（存取限制）。 其作用是对需要访问系统及其数据的人进行识别，并检验其合法身份。 可分为自主访问控制和强制访问控